PKI证书系统
文章平均质量分 94
网络之路Blog
公众号:网络之路博客 B站/头条/百家号:网络之路Blog
展开
-
PKI系列:(7)部署自己企业内部的PKI架构【基于域环境,通过组策略自动注册证书】
说明无论我们在做dot1x或者SSL VPN的时候,都需要申请个人证书,对于企业内部来说,可以构建企业级CA,配合域的组策略,可以实现自动信任根、自动申请证书、计算机证书。这样一来,无疑是减轻了在部署时候的工作量,也有非常好的扩展性。1、微软企业级证书创建后,所有加域的客户端都会自动信任这个证书机构,因为它会隐含通过组策略把根证书下放下去。2、如果是合作伙伴的CA服务器证书,那么可以通过组策略自动让内部的客户端信任这个CA服务器。3、计算机证书一般不需要申请,除非在做机器认证和给radius服务原创 2021-03-05 09:58:34 · 1015 阅读 · 1 评论 -
PKI系列:(6)不一样的SSL XXX认证与授权 【证书认证,LDAP授权】
说明最常见的SSL XXX认证恐怕是用户名和密码了,其实还有个更加方便的认证,那么就是证书,为什么说SSL XXX的证书认证方便呢,因为部署起来非常相对来说比较容易。目前只有ASA支持SSL XXX的证书认证,路由器只支持AAA技术。介绍下几个概念:LDAP,轻量级目录服务,它非常类似一个目录合集,可以快速的查找到特定的资源, 像微软的AD就使用了LDAP,在SSL XXX中介绍LDAP,肯定是它来做认证和授权咯, LDAP支持直接调用AD数据库的用户信息来验证客户端,这样省去了部署Radius原创 2021-03-04 21:30:13 · 597 阅读 · 1 评论 -
PKI系列:(5)证书下的Easy XXX【远程访问 硬件与软件拨号】
说明Easy 虚拟专用网使用证书的认证,一个字:难 ,这个难是体现在部署起来比较困难,因为Easy 虚拟专用网相对是给远程用户提供连接的、或者是分支站点,通常是与CA Server不能正常通信的可能性比较大,所以只能通过离线来申请证书,Easy 虚拟专用网的证书部署,是所有虚拟专用网中难点最大的一个,需要注意的地方比较多,虽然,部署起来比较难点,但是,好处还是有的,那就是相对于预共享密钥的方式来说安全的很多,这对于一个需要安全性比较高的企业来说,证书是不二的选择。图花了点时间弄出来的...原创 2021-03-04 21:20:02 · 308 阅读 · 1 评论 -
PKI系列:(4) 证书访问控制—CABAC
说明有时候,我们希望对证书的内容控制的非常细致,总是想让同一部门的人才能互访,而其余的部分则不可以,默认情况下,只要有合法的证书的设备,那么就能正常建立起虚拟专用网,如果想得到控制的话,在Cisco上提供一个叫做CABAC,证书访问控制来对证书的某些字段进行匹配,只有匹配的才能进行建立虚拟专用网,访问特定的资源。介绍下环境,CA Server是2003服务器,之前用IOS建立过虚拟专用网的介绍,这次换2003,设备左边的是路由器,而右边用的是ASA 8.0版本,它们之间建立基于证书的...原创 2021-03-04 21:06:46 · 652 阅读 · 1 评论 -
PKI系列:(3)基于rsa-sig的SVTI隧道【证书认证方式】
说明之前已经介绍过PKI的组件和处理流程,以及怎么搭建CA服务器,包括Cisco的IOS 软件和微软的服务器,我们搭建CA服务器,就是为了提供扩展性和安全性,这段时间会介绍PKI在虚拟专用中的应用,包括IPSec XXX、EZXXX、SSL XXX的证书认证,关于DMXXX和GETXXX其实跟IPSec XXX一样,只要掌握了IPSec XXX的证书认证注意的地方,就不会有难点了,反而EZXXX和SSL XXX有几个需要注意的地方,需要特别的提下。这个图很简单,这次利用IOS来搭建CA服务器,并原创 2021-03-04 10:10:31 · 867 阅读 · 1 评论 -
PKI系列:(2)CA服务器的部署【基于Cisco IOS与微软CA】
说明PKI的部署,可以分为VPN-Only和企业PKI的部署,VPN-Only 顾名思义就是只用于VPN设备的验证用途,而dot1x和其他方面 VPN-Only就无用了,这时候就必须部署企业的PKI,企业PKI的应用比较复杂,可以提供多种不同业务,比如VPN、dot1x、HTTPS。CA服务器的选择我们可以用微软的CA服务器或者是Cisco IOS 12.4以后的来作为CA服务器,如果确定使用IOS作为CA服务器的话,那么它的用途只是为VPN提供服务,并且只是在VPN对等体不是非常多的情况下,因原创 2021-03-04 10:04:52 · 773 阅读 · 1 评论 -
PKI系列:(1)PKI的组件及处理流程【公钥基础设施 证书系统】
说明PKI对于没接触过的朋友来说觉得是一个恐惧感,因为都感觉它很高深、很难懂,其实,只要实施过,你会觉得PKI非常简单,而且非常适用,当然,PKI用途非常的广,而这里所总结的只是介绍VPN设备之间、dot1x、ACS怎么申请证书。PKI的组件1、PKI:一个服务器的框架,为颁发证书而推出一系列的软硬件措施,通常来支持大范围部署的基于公钥的技术。2、CA:一个中心授权机构(可信任的三方),它在一个网络中签名所有的公钥。3、RA:它就是一个CA的前端代理,减轻CA的负担,主要完成接收证书请求,验原创 2021-03-04 10:02:52 · 4054 阅读 · 1 评论